Blogue

Les réformes de la protection de la vie privée sont maintenant de retour, ainsi que la nouvelle réglementation de l’IA

17 juin 2022

Close

Comprendre l’ébauche de la Loi sur la protection de la vie privée des consommateurs et de la Loi sur l’intelligence artificielle et les données

Écrit par Sébastien Gittens, Stephen Burns and Ruth Promislow

Le 16 juin 2022, la Loi de 2022 sur la mise en œuvre de la Charte du numérique (DCIA) a été présentée en tant que projet de loi C-27. La DCIA adoptera la Loi sur la protection de la vie privée des consommateurs (LRPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données (LDPI), la Loi sur l’intelligence artificielle et les données (LEID), et apportera des modifications à d’autres lois connexes.

La LRPC remplacera effectivement le régime législatif fédéral actuel régissant la collecte, l’utilisation et la communication de renseignements personnels par les organisations du secteur privé en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

La PIDPTA établira le nouveau Tribunal des renseignements personnels et de la protection des données. Il aura compétence à l’égard de tous les appels relatifs à diverses conclusions, ordonnances ou décisions rendues en vertu de la LECL et à l’égard de l’imposition de certaines pénalités en vertu de cette loi.

L’ACRA, pour sa part, cherchera à réglementer le commerce international et interprovincial des systèmes d’intelligence artificielle en établissant des exigences communes pour la conception, le développement et l’utilisation de ces systèmes; et en interdisant certains comportements à l’égard de ces systèmes.

APPVP et PIDPTA

Malgré les conse les préoccupations du commissaire fédéral à la protection de la vie privée concernant l’ébauche précédente de la LPPC, la nouvelle ébauche de la LPPC est essentiellement similaire à l’ébauche précédente. Tout comme l’ébauche précédente, la nouvelle version s’appuie sur les 10 principes de la LPRPDE relatifs à l’équité dans le traitement de l’information et propose un certain nombre de changements importants à la LPRPDE, notamment les suivants :

Application : La LRPC continuera de s’appliquer à l’égard des renseignements personnels qui :

  1. est recueilli, utilisé ou divulgué dans le cadre d’activités commerciales par une organisation, y compris les activités qui se déroulent à l’échelle interprovinciale ou internationale; ou
  2. concerne un employé ou un candidat à un emploi au sein d’une organisation participant à l’exploitation d’une entreprise fédérale.

Il y a des provinces qui ont des lois sur la protection des renseignements personnels ou la santé dans le secteur privé qui ont été jugées essentiellement similaires à la LPRPDE et, par conséquent, la LPRPDE ne s’applique pas à l’égard de ces activités liées à la protection de la vie privée ou aux renseignements sur la santé dans ces provinces. Compte tenu des changements apportés à la LPPC, la question se poursuit : est-ce que des ordonnances de similarité aussi importantes continueront de s’appliquer à l’égard de ces lois provinciales?

Par conséquent, si les ordonnances de similarité substantielle existantes ne continuent pas de s’appliquer, les organisations de la Colombie-Britannique, de l’Alberta et du Québec pour obtenir des renseignements personnels, ainsi que de l’Ontario, du Nouveau-Brunswick, de Terre-Neuve-et-Labrador et de la Nouvelle-Écosse pour obtenir des renseignements sur la santé, pourraient devoir se conformer aux lois provinciales et fédérales à l’égard de ces activités.

But approprié : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable jugerait appropriées dans les circonstances. Dans l’ébauche, la LPPC comprend également des facteurs précis dont une organisation doit tenir compte pour déterminer si de telles fins sont appropriées, y compris, par exemple, la sensibilité des renseignements personnels et si les fins représentent des besoins opérationnels légitimes de l’organisation.

Responsabilisation : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation est responsable des renseignements personnels sous son contrôle. Dans l’ébauche, l’ACCP comprend également des directives précises sur le moment où une organisation « contrôle » les renseignements personnels, c’est-à-dire le contrôle lorsqu’une organisation décide de recueillir des renseignements personnels et détermine les fins de leur collecte, de leur utilisation ou de leur communication, peu importe si les renseignements sont recueillis, utilisés ou communiqués par l’organisation elle-même ou par un fournisseur de services au nom de l’organisation.

Obligation de mettre en œuvre le Programme de gestion de la protection de la vie privée : En ce qui concerne l’obligation d’avoir des politiques et des pratiques pour donner effet à la LPRPDE, les organisations seront désormais tenues de mettre en œuvre et de maintenir un « programme de gestion de la protection de la vie privée » qui comprend les politiques, les pratiques et les procédures de l’organisation mises en place pour s’acquitter de ses obligations en vertu de la LRPC.

Fins de la collecte des dossiers : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation doit déterminer, au moment de la collecte ou avant, chacune des fins auxquelles les renseignements personnels doivent être recueillis, utilisés ou communiqués. En vertu de la LRPC, il doit également consigner ces fins.

Consigner une nouvelle fin : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation ne doit pas utiliser ou communiquer des renseignements personnels à de nouvelles fins à moins d’obtenir un consentement valide avant toute utilisation ou communication à cette nouvelle fin. En vertu de la LRPC, il doit également consigner ces fins.

Consentement : Conformément aux 10 principes de la LPRPDE relatifs à l’équité en matière de renseignements, le consentement de la personne (explicite, réputé ou implicite) doit être obtenu au moment de la collecte ou avant. Dans l’ébauche, l’ACCP comprend également des directives précises sur les exigences de validité du consentement. Plus précisément, une organisation doit fournir les renseignements suivants dans un langage simple qu’on pourrait raisonnablement s’attendre à ce qu’une personne à qui les activités de l’organisation s’adressent comprenne raisonnablement :

  1. les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels;
  2. la façon dont les renseignements personnels sont recueillis, utilisés et communiqués;
  3. les conséquences raisonnablement prévisibles de la collecte, de l’utilisation ou de la communication des renseignements personnels;
  4. les types de renseignements personnels qui doivent être recueillis, utilisés ou communiqués; et
  5. le nom de tout tiers ou de tout type de tiers auquel l’organisation peut communiquer les renseignements personnels.

Exception pour les activités commerciales : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, il existe des exceptions en vertu de l’ébauche de la LPPC qui permettent la collecte, l’utilisation ou la communication de renseignements personnels à l’insu de la personne concernée ou sans son consentement. Dans l’ébauche, la CCPA inclut également une exception pour les « activités commerciales », lorsqu’une personne raisonnable s’attendrait à une telle collecte ou utilisation de renseignements personnels pour cette activité, qui est définie comme comprenant :

  1. une activité nécessaire pour fournir un produit ou un service que la personne a demandé à l’organisation;
  2. une activité nécessaire à la sécurité de l’information, du système ou du réseau de l’organisation;
  3. une activité nécessaire à la sécurité d’un produit ou d’un service que l’organisation fournit; et
  4. toute autre activité visée par règlement.

De plus, une organisation peut recueillir ou utiliser les renseignements personnels d’une personne à son insu ou sans son consentement si la collecte ou l’utilisation est faite aux fins d’une activité dans laquelle l’organisation a un intérêt légitime qui l’emporte sur tout effet négatif potentiel sur la personne découlant de cette collecte ou de cette utilisation et :

  1. une personne raisonnable s’attendrait à la collecte ou à l’utilisation pour une telle activité; et
  2. les renseignements personnels ne sont pas recueillis ou utilisés dans le but d’influencer le comportement ou les décisions de la personne.

Pour ce faire, l’organisation doit :

  1. identifier tout effet négatif potentiel sur la personne qui est susceptible de résulter de la collecte ou de l’utilisation;
  2. déterminer et prendre des mesures raisonnables pour réduire la probabilité que les effets se produisent ou pour les atténuer ou les éliminer;
  3. se conformer à toutes les exigences prescrites; et
  4. consigner son évaluation de la façon dont il satisfait aux conditions susmentionnées.

Droit à l’élimination : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, les renseignements personnels qui ne sont plus nécessaires pour atteindre les fins déterminées devraient être détruits, effacés ou rendus anonymes. Dans l’ébauche, l’ACCP prévoit également que les organisations doivent, sous réserve de certaines restrictions, disposer également des renseignements personnels à la demande de la personne si :

  1. les renseignements ont été recueillis, utilisés ou communiqués en contravention de la présente loi;
  2. la personne a retiré son consentement, en tout ou en partie, à la collecte, à l’utilisation ou à la communication des renseignements; ou
  3. les renseignements ne sont plus nécessaires à la prestation continue d’un produit ou d’un service demandé par la personne.

Il convient toutefois de noter qu’une organisation peut, dans certaines circonstances, refuser une demande d’élimination de renseignements personnels si :

  1. l’élimination des renseignements entraînerait l’élimination de renseignements personnels sur une autre personne et les renseignements ne sont pas divisibles;
  2. il y a d’autres exigences de l’ACCP, de la loi fédérale ou provinciale ou des modalités raisonnables d’un contrat qui l’empêchent de disposer des renseignements;
  3. les renseignements sont nécessaires à l’établissement d’une défense juridique ou à l’exercice d’autres recours juridiques par l’organisation;
  4. les renseignements ne concernent pas un mineur et l’élimination des renseignements aurait une incidence négative indue sur l’exactitude ou l’intégrité des renseignements qui sont nécessaires à la fourniture continue d’un produit ou d’un service à la personne en question;
  5. la demande est vexatoire ou faite de mauvaise foi; ou
  6. les renseignements ne concernent pas un mineur et il est prévu qu’ils soient éliminés conformément à la politique de conservation des renseignements de l’organisation, et l’organisation informe la personne de la période restante pendant laquelle les renseignements seront conservés.

Mesures de protection : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, une organisation doit protéger les renseignements personnels au moyen de mesures de sécurité physiques, organisationnelles et technologiques qui sont proportionnelles à la sensibilité des renseignements. Dans l’ébauche, l’ACCP prévoit également qu’en plus de tenir compte de la sensibilité des renseignements personnels, une organisation doit également tenir compte de la quantité, de la distribution, du format et de la méthode de stockage des renseignements dans l’établissement de ses mesures de sécurité. Il convient de noter que les mesures de sécurité doivent maintenant comprendre des mesures raisonnables pour authentifier l’identité de la personne concernée par les renseignements personnels.

Transferts aux fournisseurs de services : Dans l’ébauche, l’ACCP précise qu’une organisation peut transférer des renseignements personnels à un fournisseur de services à l’insu de la personne ou sans son consentement, à condition que l’organisation s’assure, par contrat ou autrement, que le fournisseur de services offre un niveau de protection des renseignements personnels équivalent à celui qu’il est tenu de fournir en vertu de la LECL.

Obligations des fournisseurs de services : Conformément aux 10 principes relatifs à l’équité dans le traitement des renseignements de la LPRPDE, si une organisation transfère des renseignements personnels à un fournisseur de services, l’organisation doit s’assurer, par contrat ou autrement, que le fournisseur de services offre essentiellement la même protection pour les renseignements personnels que celle qu’elle est tenue de fournir en vertu de la LRPC. Dans l’ébauche, l’ACCP précise également que : (i) les fournisseurs de services sont directement responsables, en vertu de la LPVPC, de protéger les renseignements personnels au moyen de mesures de protection physiques, organisationnelles et technologiques; et (ii) si un fournisseur de services détermine qu’il y a eu atteinte aux mesures de sécurité qui concerne des renseignements personnels, il doit en aviser l’organisation qui contrôle les renseignements personnels dès que possible.

Opérations commerciales éventuelles : Conformément à l’exemption relative aux opérations commerciales prévue par la LPRPDE, la LRPC comprend une exemption pour certaines opérations commerciales. Contrairement à la LPRPDE, la LACL prévoit également qu’en l’absence d’un consentement valide, une organisation ne peut fournir des renseignements dépersonnalisés qu’à une contrepartie potentielle dans le cadre d’une transaction commerciale éventuelle, à moins que cela ne nuise aux objectifs de réalisation de l’opération et que l’organisation n’ait tenu compte du risque de préjudice pour la personne qui pourrait résulter de l’utilisation ou de la divulgation des renseignements. Il s’agit d’un changement important par rapport à la législation existante qui permet la communication de renseignements personnels à un acheteur éventuel à l’insu des personnes ou sans leur consentement.

Système décisionnel automatisé : Nouveau dans le régime fédéral de protection des renseignements personnels dans le secteur privé, l’ébauche de la LRPC prévoit que si l’organisation a utilisé un système décisionnel automatisé pour faire une prédiction, une recommandation ou une décision au sujet de la personne qui pourrait avoir une incidence importante sur elle, l’organisation doit, à la demande de la personne, lui fournir une explication de la prédiction, une recommandation ou une décision qui indique le type de renseignements personnels qui ont été utilisés pour faire la prédiction, la recommandation ou la décision, la source de l’information et les motifs ou les principaux facteurs qui ont mené à la prédiction, à la recommandation ou à la décision.

Renseignements dépersonnalisés et anonymisés : Nouveau dans le régime fédéral de protection des renseignements personnels du secteur privé, l’ébauche de la LPPC traite de la collecte, de l’utilisation et de la communication de « renseignements dépersonnalisés » dans certaines circonstances :

  1. par exemple, une organisation peut utiliser les renseignements personnels d’une personne à son insu ou sans son consentement pour dépersonnalisation des renseignements; et
  2. une organisation peut utiliser les renseignements personnels d’une personne à son insu et sans son consentement à des fins de recherche, d’analyse et de développement internes, si les renseignements sont dépersonnalés avant d’être utilisés.

Il convient toutefois de noter qu’aux fins de divers articles de l’ébauche de la LPPC, les renseignements personnels qui ont été dépersonnalés sont considérés comme des renseignements personnels.

La « dé-identification » est définie comme le processus qui consiste à s’assurer que les renseignements n’identifient pas une personne ou ne pourraient pas être utilisés dans des circonstances raisonnablement prévisibles, seules ou en combinaison avec d’autres renseignements, pour identifier une personne. La rédaction actuelle de la Loi n’est pas claire quant à la mesure dans laquelle on s’y fiera pour réglementer l’utilisation et la divulgation des renseignements dépersonnalisants.

L’ébauche de la LACL indique également clairement qu’elle ne s’applique pas à l’égard des renseignements personnels qui ont été anonymisés (c.-à-d. les renseignements personnels qui ont été modifiés de façon irréversible et permanente, conformément aux pratiques exemplaires généralement reconnues, afin de s’assurer qu’aucune personne ne peut être identifiée à partir des renseignements, que ce soit directement ou indirectement, par quelque moyen que ce soit).

Accès par le commissaire à la protection de la vie privée : En élargissant les pouvoirs du commissaire à la protection de la vie privée en vertu de la LPRPDE, en vertu de l’ébauche de la LPPC, à la demande du commissaire à la protection de la vie privée, une organisation doit lui donner accès aux politiques, aux pratiques et aux procédures qui sont incluses dans le programme de gestion de la protection de la vie privée de l’organisation. Bien que l’ébauche de la LPPC prévoie que le commissaire à la protection de la vie privée ne peut pas utiliser les renseignements obtenus au moyen de ce droit d’accès comme base pour déposer une plainte ou faire une vérification, il est difficile de voir comment le commissaire à la protection de la vie privée peut séparer ce qu’il apprend de cet accès de ce qu’il considère comme des « motifs raisonnables » de déposer une plainte ou une vérification.

Pouvoirs du commissaire : Bien que la commissaire à la protection de la vie privée n’ait que des pouvoirs d’application limités en vertu de la LPRPDE, en vertu de l’ébauche de la LECL, ce ne sera plus le cas :

  1. Lorsqu’il mène une enquête sur une plainte, qu’il mène une enquête ou qu’il effectue une vérification, le commissaire à la protection de la vie privée peut, entre autres, rendre toute ordonnance provisoire qu’il juge appropriée.
  2. Après avoir enquêté sur une plainte (à l’initiative d’un plaignant ou du commissaire à la protection de la vie privée), le commissaire à la protection de la vie privée peut mener une enquête et rendre une décision et ordonner à l’organisation de prendre des mesures précises, de cesser de prendre des mesures particulières (comme la collecte de renseignements) et de recommander que le Tribunal impose une pénalité à l’égard de certaines infractions (comme il est indiqué ci-dessous).
  3. Bien qu’il existe un droit d’appel devant le Tribunal de la décision du commissaire à la protection de la vie privée, le Tribunal ne remplacera que sa conclusion de fait par celle du commissaire à la protection de la vie privée fondée sur une norme d’erreur manifeste et dominante. En effet, cette norme signifie que le Tribunal s’en remettra aux conclusions de fait du commissaire à la protection de la vie privée.
  4. Un fournisseur de services peut faire l’objet d’une plainte, d’une enquête et d’une enquête dans la mesure où il ne s’est pas conformé à ses obligations en vertu de la Loi.

Le Tribunal : Le nouveau Tribunal de la protection des renseignements personnels et des données sera établi en vertu de l’ébauche de la LDDPPI. Le Tribunal aura compétence à l’égard de tous les appels relatifs à diverses conclusions, ordonnances ou décisions rendues en vertu de la LACL et à l’égard de l’imposition de certaines pénalités en vertu de cette loi. Toute décision du Tribunal peut, aux fins de son exécution, faire l’objet d’une ordonnance de la Cour fédérale ou de toute cour supérieure et est exécutoire de la même manière qu’une ordonnance de la cour.

Pénalités en cas de non-conformité : Bien que les dispositions relatives aux pénalités soient limitées en vertu de la LPRPDE, en vertu de l’ébauche de la LRPC, la commissaire à la protection de la vie privée peut recommander au Tribunal qu’une pénalité en cas de contravention aux diverses obligations de la LACL soit imposée à l’organisation. La pénalité maximale est la plus élevée de 10 millions de dollars ou 3 % du revenu global brut.

  1. Une pénalité peut être recommandée en cas de violation des dispositions concernant le consentement valide, l’obligation de disposer de renseignements personnels lorsqu’ils ne sont plus requis, l’obligation de disposer de renseignements personnels sur demande et l’obligation de mettre en œuvre des mesures de protection appropriées.
  2. Les fournisseurs de services peuvent être assujettis à cette pénalité si le commissaire à la protection de la vie privée conclut qu’ils n’ont pas respecté l’obligation de mettre en œuvre des mesures de sécurité.

Pénalités pour contravention consciente : Bien que les dispositions relatives aux pénalités soient limitées en vertu de la LPRPDE, en vertu de l’ébauche de la LPPC, toute organisation qui contrevient sciemment à l’une des obligations suivantes est coupable d’un acte criminel et est passible d’une amende ne dépassant pas le plus élevé des montants suivants :

  1. signaler une violation des mesures de sécurité donnant lieu à un risque réel de préjudice important;
  2. aviser les personnes touchées d’une telle atteinte;
  3. tenir un registre des atteintes à la vie privée;
  4. conserver les renseignements personnels qui fait l’objet d’une demande;
  5. n’utilisez pas les renseignements dépersonnalises seuls ou en combinaison avec d’autres renseignements pour identifier une personne, sauf pour tester l’efficacité des mesures de sécurité que l’organisation a mises en place pour protéger les renseignements;
  6. ne pas pénaliser le dénonciateur; ou
  7. se conformer à une ordonnance de conformité émise par le commissaire à la protection de la vie privée.

Droit privé d’action : S’appuyant sur le droit privé d’action en vertu de la LPRPDE, l’ébauche de la LACL établit également une cause d’action pour la perte ou le préjudice découlant de la violation par une organisation de ses obligations en vertu de la loi. La LRPC prolonge le délai de prescription à deux ans après la période de prescription à la fois où la personne (qui est touchée par un acte ou une omission d’une organisation qui constitue une contravention à la LECL) prend connaissance de ce qui suit :

  1. la décision pertinente du commissaire à la protection de la vie privée (ou, en cas d’appel, de la décision du Tribunal) à l’égard d’un tel acte ou d’une telle omission; ou
  2. une déclaration de culpabilité en vertu de l’article sur les actes criminels.

Le droit privé d’action peut s’étendre aux fournisseurs de services dans la mesure où il est conclu qu’ils n’ont pas respecté leurs obligations en vertu de la LPVPC.

ACRA

Visant à réglementer le commerce international et interprovincial dans le système d’intelligence artificielle, le projet d’ACRA introduit diverses obligations pour les organisations utilisant l’intelligence artificielle. Voici un résumé de certaines des obligations importantes de ce projet de loi.

Établissement de mesures : L’ébauche de l’ACRA exige que toute personne qui exerce une « activité réglementée » et qui traite ou met à disposition des données anonymisées dans le cadre de cette activité établisse des mesures à l’égard de ce qui suit :

  1. la manière dont les données sont anonymisées; et
  2. l’utilisation ou la gestion de données anonymisées.

Dans ce contexte, une « activité réglementée » s’entend de l’une ou l’autre des activités suivantes exercées dans le cadre d’échanges et de commerces internationaux ou interprovinciaux :

  1. traiter ou mettre à disposition pour utilisation toute donnée relative aux activités humaines aux fins de la conception, du développement ou de l’utilisation d’un système d’intelligence artificielle;
  2. la conception, le développement ou la mise à disposition d’un système d’intelligence artificielle ou la gestion de ses opérations.

Systèmes à impact élevé : Une personne responsable d’un système d’intelligence artificielle doit évaluer s’il s’agit d’un « système à impact élevé » (c.-à-d. un système d’intelligence artificielle qui répond aux critères applicables énoncés dans le règlement) et, le cas échéant :

  1. établir des mesures pour cerner, évaluer et atténuer les risques de préjudice ou de production biaisée qui pourraient découler de l’utilisation du système;
  2. établir des mesures pour surveiller la conformité aux mesures d’atténuation qu’ils sont tenus d’établir en vertu de la LEA ET l’efficacité de ces mesures d’atténuation; et
  3. aviser le ministre si l’utilisation du système entraîne ou est susceptible d’entraîner un préjudice matériel.

Publication de la description : Les organisations qui rendent disponible pour utilisation un système à fort impact doivent publier sur un site Web accessible au public une description en langage clair du système qui comprend une explication de ce qui suit :

  1. la façon dont le système est destiné à être utilisé;
  2. les types de contenu qu’il est destiné à générer et les décisions, recommandations ou prédictions qu’il est destiné à faire;
  3. les mesures d’atténuation établies en vertu de l’ACRA à son égard; et
  4. tout autre renseignement qui peut être prescrit par règlement.

D’autre part, les organisations qui gèrent le fonctionnement d’un système à fort impact doivent sur un site Web accessible au public une description en langage clair du système qui comprend une explication de ce qui suit :

  1. la façon dont le système est utilisé;
  2. les types de contenu qu’il génère et les décisions, recommandations ou prédictions qu’il fait;
  3. les mesures d’atténuation établies en vertu de l’ACRA à son égard; et
  4. tout autre renseignement qui peut être prescrit par règlement.

Tenue de documents : L’ébauche de l’ACRA établit diverses obligations en matière de tenue de documents à l’égard des organisations qui exercent des activités réglementées.

Pénalités en cas de non-conformité : Une contravention à la LEA PEUT entraîner des conséquences importantes : une amende d’au plus 10 000 000 $ et 3 % des revenus globaux bruts.

Commissaire à l’intelligence artificielle et aux données : Un haut fonctionnaire peut être nommé commissaire à l’intelligence artificielle et aux données, dont le rôle sera d’aider le ministre dans l’administration et l’application de l’ACRA.

 

S’ils sont adoptés tels qu’ils sont actuellement rédigés, nous prévoyons que la LPPC et l’ACDI auront une incidence importante sur l’étendue de l’examen réglementaire des organisations en ce qui a trait à leurs pratiques en matière de protection de la vie privée et à l’utilisation de l’intelligence artificielle. Par conséquent, les organisations devront probablement entreprendre un examen exhaustif de la façon dont elles mènent leurs activités et gèrent leurs pratiques, politiques et procédures en matière de protection de la vie privée dans l’ensemble du Canada, ainsi que les systèmes d’IA.

Le groupe Bennett Jones Privacy & Data Protection group est disponible pour discuter de la façon dont les changements peuvent affecter les obligations d’une organisation en matière de confidentialité.

Authors

Liens connexes



View Full Mobile Experience